buu刷题 [2019红帽杯]childRE wp

最新推荐文章于 2024-05-06 11:15:21 发布
最新推荐文章于 2024-05-06 11:15:21 发布
阅读量821 收藏 1
点赞数 1
分类专栏: # RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43876357/article/details/108087660
版权

此题可以分为三大块来解
考点:二叉树(动态调试)、C++函数名修饰

1.

首先f5反编译,首先我们要求出outputString(长度为62),逆分析可以知道取outputString字符串的字符,然后对23取余和除数分别在a1234567890Qwer中找到对应位置,其值必须与str1和str2对应位置的值相等

上这一段脚本:

str1 = "(_@4620!08!6_0*0442!@186%%0@3=66!!974*3234=&0^3&1@=&0908!6_0*&"
str2 = "55565653255552225565565555243466334653663544426565555525555222"
str3 = '1234567890-=!@#$%^&*()_+qwertyuiop[]QWERTYUIOP{}asdfghjkl;,ASDFGHJKL:"ZXCVBNM<>?zxcvbnm,./'

name = ''

for i in range(62):
    name += chr(str3.index(str1[i]) + str3.index(str2[i])*23 )

print (name)

输出为:private: char * __thiscall R0Pxx::My_Aut0_PWN(unsigned char *)

2.

然后查看UnDecorateSymbolName()函数


以下所有参考材料均来自该师傅博客——https://www.freesion.com/article/6515734088/

参考资料1
可以知道第二个参数为未修饰的名字,第三个参数为长度,第四个参数为0表示完全修饰,第一个参数为输出地址

参考材料2

c++函数名的修饰更为复杂,提供的信息也更为丰富。
无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”开始,后面紧跟函数的名字。再后面是参数表的开始标识和依照参数类型代号拼出的参数表。

v2 = ?My_Aut0_PWN

对于C++的类成员函数(其调用方式是thiscall),函数的名字修饰与非成员的C++函数稍有不同,首先就是在函数名字和参数表之间插入以“@”字 符引导的类名。

v2 = ?My_Aut0_PWN@R0Pxx

其次是参数表的开始标识不同,公有(public)成员函数的标识是“@@QAE”,保护(protected)成员函数的标识是 “@@IAE”,私有(private)成员函数的标识是“@@AAE”,假设函数声明使用了constkeyword,则对应的标识应分别为“@@QBE”,“@@IBE”和“@@ABE”。

因为函数为private,私有成员
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAE
后面就是添加参数了,先加入函数返回值参数,函数的返回值类型为char *

参数表的拼写代号如下:
X–void
D–char
E–unsigned char
F–short
H–int
I–unsigned int
J–long
K–unsigned long(DWORD)
M–float
N–double
_N–bool
U–struct

指针的方式有些特别。用PA表示指针,用PB表示const类型的指针。

char *也就是PAD
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAEPAD
然后是参数的类型 unsigned char *,也就是PAE
所以v2 = ?My_Aut0_PWN@R0Pxx@@AAEPADPAE

参数表后以“@Z”标识整个名字的结束。假设该函数无参数,则以“Z”标识结束。

所以最终v2 = ?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

另一种方法——直接上脚本:(参考博客

#include <iostream>

class R0Pxx {
public:
    R0Pxx() {
        My_Aut0_PWN((unsigned char*)"hello");
    }
private:
    char* __thiscall My_Aut0_PWN(unsigned char*);
};

char* __thiscall R0Pxx::My_Aut0_PWN(unsigned char*) {
    std::cout << __FUNCDNAME__ << std::endl;

    return 0;
}

int main()
{
    R0Pxx A;

    system("PAUSE");
    return 0;
}
//输出?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z

3.

最后就是再上面的if里面的内容,这里采用ida动态调试,
在if(v1)下断点:
(这里看其他师傅的博客考的应该是二叉树?)

先输入31个字符:

然后F7单步调试,发现:

这里的name也就是v2我们已经算出来了,然后发现是一个result给他赋的值
汇编代码为

然后这里的al值就是result的值,记录一下al的值(这里多运行几次,记录每一次的值就可以了)
可以得到0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43,

再F7可以得到

v2也就是name,此时v4等于1E也就是30,点进汇编看可知此时v5为0x41,对应的值是A,也就是65

上最后的脚本:

#include <stdio.h>
#include <string.h>
int main()
{
	char name[32] = "?My_Aut0_PWN@R0Pxx@@AAEPADPAE@Z";
	int biao[] = { 0x50, 0x51, 0x48, 0x52, 0x53, 0x49, 0x44, 0x54, 0x55, 0x4a, 0x56, 0x57, 0x4b, 0x45, 0x42, 0x58, 0x59, 0x4c, 0x5a, 0x5b, 0x4d, 0x46, 0x5c, 0x5d, 0x4e, 0x5e, 0x5f, 0x4f, 0x47, 0x43, 65 };
	char input[32] = { 0 };
	int i;
	for (i = 0; i < strlen(name); i++)
		input[biao[i] - 65] = name[i];
	puts(input);
	return 0;
}

最后得到的结果是 Z0@tRAEyuP@xAAA?M_A0_WNPx@@EPDP

然后再md5——get flag!

4.

flag{63b148e750fed3a33419168ac58083f5}

 

 

43v3rY0unG
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[2019红帽杯]CHILDRE(c++逆向+函数调用约定+c++修饰符转换+异或+黑盒分析+爆破)
qq_54894802的博客
06-14 526
官方文档,大致可以知道这个函数的作用就是将我们的flag进行转换,转换成了c++函数模式。也就是说我们的flag就是outoutstring,这个函数的。了解之后,我们可以将未转换的outoutstring得出:?我们输入31个有序数据,12345ABCDEFGHIJKLMNOPQRSTUWXYZ,对于这一堆函数,我们进行动态调试,我们输入有序字母。通过这里,我们可以判断出我们的flag有着31位。进入这个函数,我们可以发现。
[2019红帽杯]childRE 分析与拓展
Tokameine的博客
07-01 531
十分特殊也有趣的一题,特此记录。流程并非难以理解,但有些需要注意的点。 无壳,可以直接用IDA分析,但由于存在一些动态变量,一旦开始动调,代码将会变得更难理解,因此目前只用静态调试来审计 int __cdecl main(int argc, const char **argv, const char **envp) { __int64 v3; // rax __int64 v4; // rax const CHAR *v5; // r11 __int64...
[2019红帽杯]childRE
2302_79135465的博客
05-06 948
我传入的v14=“abcdefghijklmnopqrstuvwxyz12345”,第一次的时候它给name[0]赋值成了p,对应我输入的字符串的下标是15,我调试了多次,发现每次都是这样,而且最后的name里存放的是打乱了顺序的输入的字符串,动调它给name赋值的过程,记录下对应的下标。动态调试会发现,开辟的地址处有三个数据,第一个是我们输入的字符,第二个是左孩子的地址,第三个是右孩子的地址。输入长度31的字符串---进行置换运算---取消修饰函数名---将未修饰函数名的商和余数与字符串比较。
BUU [2019红帽杯]childRE1
zzqzzq11的博客
01-17 2385
这个题目比较难,一开始看了一下没有头绪。 首先用ida打开: 很长的一个程序,一步一步仔细分析。 首先是第一部分,这一部分是先进行了输入,然后判断是否是31字节,将我们的输入使用sub_14001290()函数。这个函数,我一开始以为是一个加密函数,看起来挺复杂的。通过下面的sub_1400015C0()函数有一些提示。if(v4)下面的部分完全就是一个后序遍历嘛?所以说,这个函数可以猜测是构造二叉树的函数。(下面第二张图是后序遍历的代码)。 但是有个问题,这个sub_140001...
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第二届红帽杯线上初赛 RedHat 2018 WriteUp
郁离歌丶的博客
05-02 5690
又是一个划水的比赛,作看高中生吊打全场orz,太强了。WEBsimple upload进入一个登陆页面,抓包之后发现cookie有admin=0改成1之后进入了一个上传页面,获取指纹之后,明显是Apache Tomcat,传一个一句话asp马过去试试。上传yulige.jsp.jpg&lt;% if("023".equals(request.getParameter("pwd"))){ ...
Pwn-CTF 2018红帽杯redhat GameServer题目writeup
publicStr的博客
05-06 1781
开始前的例行叨叨:学pwn萌新,欢迎交流赐教~先放一波题目:我传了github上 pwn2就是题目了。( 若有侵权,请博客留言立马删除)https://github.com/staticStr/ForCTF/blob/master/pwn2来看看这个程序是做什么用的功能很简单,输入名字,职业,就会问你是否要修改,填Y修改,写一个新的进去。ida打开分析一波,顺手把变量名能改就改了,分析看图吧。开始...
[2019红帽杯]Snake
m0_46296905的博客
04-28 506
题目:[2019红帽杯]Snake 0x01 分析 程序是个unity游戏。 把Snake\Snake_Data\Managed目录下的Assembly-CSharp.dll放到dnSpy里面反汇编看看,发现了导入外部interface动态链接库,且GameObject主函数就在这个库中。 现在来看看这个函数是如何被使用的,选中GameObject函数,右键点击分析,弹出的分析器中双击可以看出向这个函数传入了一个坐标参数。 找到Plugins下的Interface 64位 ida64查看,在str
2021红帽杯RE ezRev和file_store题解
abelxu
05-12 891
比赛的时候没做出来,而且坑点也挺多的,赛后复现了一下 0x01 ezRev 比赛的时候更新了题目,原本题目没有字符串提示,分析起来难度较大。题目难点是设置了很多比较坑的比较点需要patch绕过。 1.流程分析 1.输入一个16字节的flag(需要patch长度比较) 2.rand()生成a和b 3.比较a的b次方和b的a次方是否相等,且a>b。应该只有一个解就是 a=4,b=2。(需要patch rand返回值为4,2) 4.计算xtea的key,可以将sleep nop掉,因为前面步骤2,3,
C语言自定义函数作为函数的参数
今晚看星星的博客
11-21 2436
文章目录函数作为参数函数作为参数的使用 函数作为参数 函数作为参数的时候,需要声明函数的结构 一般的形式为: func(T (*func)(V args)) 使用的时候,直接使用对应参数类型的函数名即可 函数的名字就是指向内存函数开始执行时的指针,因此可以直接进行赋值 函数作为参数的使用 #include<iostream> using namespace std; void fun(int* a, int *b) { int tmp = *a; *a = *b;
buu [2019红帽杯]childRE wr
liuxiaohuai_的博客
12-19 1170
无论 __cdecl,__fastcall还是__stdcall调用方式,函数修饰都是以一个“?”開始,后面紧跟函数的名字。再后面是參数表的開始标识和 依照參数类型代号拼出的參数表。
第45天:红帽杯2019-childRE(一)
S1lenc3的博客
12-15 430
1.上午考四级,来年再战。 2.下午出去玩了,没学习。 3.放弃学习是不可能的,今天待在实验室了。 今天打算复现一下childRE,直接拖到IDA,代码好长,我好害怕。 搜索关键字符串定位函数。 三处Sleep,直接patch,推荐一个IDA的patch插件,之前的博客也提到过, 然后,这TM是啥。。。。对我这个菜鸡来说,只有自闭了。 这是STL,我压根不会。。。。 没办法...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值